cvelistv5 - cve-2024-25708

▼	URL	Tags
	psirt@esri.com	https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/	Vendor Advisory

▼	Vendor	Product
	Esri	ArcGIS Enterprise Web App Builder

wid-sec-w-2024-0800

Vulnerability from csaf_certbund

Published

2024-04-04 22:00

Modified

2024-04-04 22:00

Summary

ESRI Portal for ArcGIS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

ArcGIS ist ein Geoinformationssystem.

Angriff

Ein entfernter authentifizierter Angreifer kann mehrere Schwachstellen in ESRI ArcGIS ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuführen.

Betroffene Betriebssysteme

- Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "ArcGIS ist ein Geoinformationssystem.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter authentifizierter Angreifer kann mehrere Schwachstellen in ESRI ArcGIS ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0800 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0800.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0800 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0800"
      },
      {
        "category": "external",
        "summary": "Esri Portal for ArcGIS Security 2024 Update 1 vom 2024-04-04",
        "url": "https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-security-2024-update-2/"
      }
    ],
    "source_lang": "en-US",
    "title": "ESRI Portal for ArcGIS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-04T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:20.351+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0800",
      "initial_release_date": "2024-04-04T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-04T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "portal \u003c= 11.0",
                "product": {
                  "name": "ESRI ArcGIS portal \u003c= 11.0",
                  "product_id": "T033932"
                }
              },
              {
                "category": "product_version_range",
                "name": "portal \u003c= 10.9.1",
                "product": {
                  "name": "ESRI ArcGIS portal \u003c= 10.9.1",
                  "product_id": "T033933"
                }
              },
              {
                "category": "product_version_range",
                "name": "portal \u003c= 10.8.1",
                "product": {
                  "name": "ESRI ArcGIS portal \u003c= 10.8.1",
                  "product_id": "T033934"
                }
              }
            ],
            "category": "product_name",
            "name": "ArcGIS"
          }
        ],
        "category": "vendor",
        "name": "ESRI"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-25690",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25690"
    },
    {
      "cve": "CVE-2024-25692",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25692"
    },
    {
      "cve": "CVE-2024-25693",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25693"
    },
    {
      "cve": "CVE-2024-25695",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25695"
    },
    {
      "cve": "CVE-2024-25696",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25696"
    },
    {
      "cve": "CVE-2024-25697",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25697"
    },
    {
      "cve": "CVE-2024-25698",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25698"
    },
    {
      "cve": "CVE-2024-25699",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25699"
    },
    {
      "cve": "CVE-2024-25700",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25700"
    },
    {
      "cve": "CVE-2024-25703",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25703"
    },
    {
      "cve": "CVE-2024-25704",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25704"
    },
    {
      "cve": "CVE-2024-25705",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25705"
    },
    {
      "cve": "CVE-2024-25706",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25706"
    },
    {
      "cve": "CVE-2024-25708",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25708"
    },
    {
      "cve": "CVE-2024-25709",
      "notes": [
        {
          "category": "description",
          "text": "Es gibt mehrere Schwachstellen in Esri Portal for ArcGIS. Die Ursachen sind z.B. eine unsachgem\u00e4\u00dfe Authentifizierung oder ein Path Traversal Problem. Ein entfernter, authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Cross-Site Scripting (XSS)-Angriffe durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "last_affected": [
          "T033934",
          "T033932",
          "T033933"
        ]
      },
      "release_date": "2024-04-04T22:00:00.000+00:00",
      "title": "CVE-2024-25709"
    }
  ]
}

ghsa-43fc-v55w-5mx4

Vulnerability from github

Published

2024-04-04 18:30

Modified

2025-04-10 21:30

Severity ?

4.8 (Medium) - CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Details

There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 – 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim’s browser. The privileges required to execute this attack are high.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-25708"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-79"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-04-04T18:15:13Z",
    "severity": "MODERATE"
  },
  "details": "There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 \u2013 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim\u2019s browser.  The privileges required to execute this attack are high.\u00a0",
  "id": "GHSA-43fc-v55w-5mx4",
  "modified": "2025-04-10T21:30:47Z",
  "published": "2024-04-04T18:30:33Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-25708"
    },
    {
      "type": "WEB",
      "url": "https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1"
    },
    {
      "type": "WEB",
      "url": "https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-2"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

gsd-2024-25708

Vulnerability from gsd

Modified

2024-02-10 06:02

Details

There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 – 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim’s browser. The privileges required to execute this attack are high.

Aliases

CVE-2024-25708

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-25708"
      ],
      "details": "There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 \u2013 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim\u2019s browser.  The privileges required to execute this attack are high.\u00a0",
      "id": "GSD-2024-25708",
      "modified": "2024-02-10T06:02:58.158650Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "psirt@esri.com",
        "ID": "CVE-2024-25708",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "ArcGIS Enterprise Web App Builder",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "10.8.1"
                        },
                        {
                          "version_affected": "\u003c=",
                          "version_name": "10.9.1",
                          "version_value": "\u003c=10.9.1"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Esri"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 \u2013 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim\u2019s browser.  The privileges required to execute this attack are high.\u00a0"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.8,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "HIGH",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-79",
                "lang": "eng",
                "value": "CWE-79 Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/",
            "refsource": "MISC",
            "url": "https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/"
          }
        ]
      },
      "source": {
        "defect": [
          "BUG-000160688"
        ],
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "descriptions": [
          {
            "lang": "en",
            "value": "There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise Web App Builder versions 10.8.1 \u2013 10.9.1 that may allow a remote, authenticated attacker to create a crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim\u2019s browser.  The privileges required to execute this attack are high.\u00a0"
          },
          {
            "lang": "es",
            "value": "Existe una vulnerabilidad de Cross-Site Scripting almacenada en Esri Portal for ArcGIS Enterprise Web App Builder versiones 10.8.1 \u2013 10.9.1 que puede permitir que un atacante remoto y autenticado cree un enlace manipulado que, al hacer clic en \u00e9l, podr\u00eda ejecutar c\u00f3digo JavaScript arbitrario en el navegador de la v\u00edctima. Los privilegios necesarios para ejecutar este ataque son elevados."
          }
        ],
        "id": "CVE-2024-25708",
        "lastModified": "2024-04-19T23:15:10.237",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 4.8,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "LOW",
                "privilegesRequired": "HIGH",
                "scope": "CHANGED",
                "userInteraction": "REQUIRED",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 1.7,
              "impactScore": 2.7,
              "source": "psirt@esri.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-04-04T18:15:13.070",
        "references": [
          {
            "source": "psirt@esri.com",
            "url": "https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/"
          }
        ],
        "sourceIdentifier": "psirt@esri.com",
        "vulnStatus": "Awaiting Analysis",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-79"
              }
            ],
            "source": "psirt@esri.com",
            "type": "Secondary"
          }
        ]
      }
    }
  }
}

Action not permitted

cve-2024-25708

Vulnerability from cvelistv5

wid-sec-w-2024-0800

Vulnerability from csaf_certbund

ghsa-43fc-v55w-5mx4

Vulnerability from github

gsd-2024-25708

Vulnerability from gsd

Tags